深(shen)圳2020年(nian)(nian)12月(yue)30日 /美(mei)通社(she)/ -- 在&nbs��������p;2020 年(nian)(nian)全(quan)球疫情沖擊、新(xin)技(ji)術深(shen)化(hua)應用(yong)、新(xin)基建政(zheng)策(ce)推(tui)動等數字(zi)經濟(ji)轉型(xing)的(de)(de)大環境下(xia),關鍵信息基礎設施對數字(zi)化(hua)轉型(xing)升(sheng)級(ji)的(de)(de)支撐作用(yong����)愈(yu)發突(tu)顯。與此同(tong)時,數字(zi)資(zi)產暴露(lu)面(mian)不斷擴大,風(feng)險(xian)日趨嚴(yan)峻,伴隨HW背景下(xia),數字(zi)資(zi)產暴露(lu)面(mian)監測(ce)已(yi)成為更多運(yun)營(ying)單位所關注(zhu)的(de)(de)焦點。
數(shu)字資產暴露(lu)(lu)面風(feng)險:指運營(ying)單位擁有或控制的(de)域名(ming)、IP、網站、公(gong)眾號、小程(cheng)序、源代碼(ma)、數(shu)據(ju)等資產,被互聯網或暗網披露(lu)(lu)的(de)這(zhe)些資產所存在的(de)漏洞、弱口(kou)令、敏感端口(ko�������u)、數(shu)據(ju)泄露(lu)(lu)等安全隱�����患(huan)信(xin)息所形成的(de)風(feng)險。
2020年(nian)12月30日(ri),深圳數(shu)字(zi)觀星(xing)科技有限公司首次發(fa)布《2020數(shu)字(zi)資產(chan)暴露(lu)面(mian)風險(xian)》報告(gao),報告(gao)立足于觀星(xing)運營中(zhong)心數(shu)據(ju)及工作實踐,包含有4個關(guan)(guan)鍵發(fa)現:業(ye)(ye)務數(shu)字(zi)化(hua)轉型、國家相關(guan)(guan)法律(lv)法規(gui)出(chu)臺、微信公眾號/小程序資產(chan)數(shu)量擴增、數(shu)字(zi)資產(chan)暴露(lu)面(mian)風險(xian)增大;呈(cheng)現銀(y������in)行、證券、基金(jin)、保(bao)險�������(xian)、教育、能源、醫療、運營商等行業(ye)(ye)的數(shu)字(zi)資產(chan)變化(hua)趨(qu)勢。
2019-2020數(shu)字資(zi)產暴露面(mian)增長(chang)率
從數(shu)字(zi)(zi)(zi)資(zi)(zi)產(chan)(chan)暴(bao)露面漏洞看行業網(wang)安建�����(jian)設水平,報告(gao)對數(shu)字(zi)(zi)(zi)資(zi)(zi)產(chan)(chan)暴(bao)露面的整體(ti)分布、行業數(shu)字(zi)(zi)(zi)資(zi)(zi)產(chan)(ch�����an)暴(bao)露面的風險(xian)(xian)分布、數(shu)字(zi)(zi)(zi)資(zi)(zi)產(chan)(chan)暴(bao)露面的風險(xian)(xian)現(xian)狀等做(zuo)詳細分析。
數(shu)字資產暴(bao)露(lu)面(mian)整體分布
數(shu�����)字資產暴露(lu)面(mian)的風險現(xian)狀主(zhu)要分為6個方(fang)面(mia��������n):
1.數字資產暴露面漏洞
以新(xin)型資(zi)產暴露面(mia�����n)漏(lou)洞為(wei)例,運營單位使用公眾號/小(xiao)程序開展業(ye)務,由于(yu)新(xin)型資(zi)產缺(que)少相應監測手段(duan),容易出現注入、代碼問(wen)題、跨�������(kua)站腳本(ben)、配置錯(cuo)誤、遠程代碼執行等漏(lou)洞風險。
2.數字資產敏感端口風險
數字資產云化、邊界不(bu)受控(kong)、流程管理(li)問題、安全意(yi)識差等是導致(zhi)敏(min)感端(duan)口�������大門向外部開放的主(zhu)要(yao)原(yuan)因,敏(min)感端(duan)口暴露(lu)Top5主(zhu)要(yao)有22、21、3389、3306、23。
3.數據泄露類型-系統源碼
系(xi)統源(yuan)(yua������n)碼(ma)和技術方案占據外(wai)部數(shu)據泄露類型61%,分析發現泄露系(xi)統源(yuan)(yuan)碼(ma)中(zhong)含有(yo����u)密(mi)碼(ma)密(mi)鑰風險最高,也是眾(zhong)多運營單位用戶最為關注的外(wai)部數(shu)據泄露風險。
4.Github和百度文庫成數據泄露主要渠道
內部數據(ju)外泄(xie),容(rong)易成為(wei)攻擊(ji)者(zhe)和黑客社(she)工(gong)利(li)用重要渠道,分析發(fa)現在(zai)Gi������thub和百度文庫共享導致數據(ju)泄(xi��������e)露比例高達(da)60%。
5.內部員工和供應商依舊是高風險人群
內部(bu)(bu)員工(gong)和供應商引������起的(de)外部(bu)(bu)數據泄露事件(jian)占比92%,普遍由(you)������于網絡安全意(yi)識(shi)薄弱和缺少安全管(guan)理手段所導致。
6.冰山下的暗網數據泄露交易活躍
2020年(nian),觀星暗網(wang)情(qing)報監測(ce)共(gong)發(fa)現1500+起,交(jiao)易�������(yi)數(s��hu)(shu)量231+件(jian),交(jiao)易(yi)用戶數(shu)(shu)據(ju)高達780w+條(tiao),由于暗網(wang)自身(shen)具有較強的匿名(ming)性(xing)(xing)和隱蔽性(xing)(xing),暗網(wang)數(shu)(shu)據(ju)交(jiao)易(yi)也成為(wei)金融客戶數(shu)(shu)據(ju)泄露販(fan)賣交(jiao)易(yi)的主(zhu)要渠道。
觀星依托于多(duo)年的(de)實戰經驗,已為業內眾多(duo)用戶打造������了數(shu)字(zi)化轉(zhuan)型下的(de)數(shu)字(zi)資產暴露面風險解決方案,并不斷探(tan)索實踐,助力行業用戶在數(shu)字(zi)化浪(lang)潮下讓資產的(de)安(an)全保(bao)障“看得清”和(he)“管得好”,加強資產威脅監測和(he)應急響應能力,為推動數(shu)字(zi)化轉(zhuan)型戰略(lve)保(bao)駕(jia)護航。
觀星根據2020 數字資產暴露面風險分析和實戰運營經驗,給處于數字化浪潮下的行業用戶們幾點建議和展望。詳見:觀星《2020數字資產暴(bao)露面風(feng)險》報(bao)告完整版 。
附:數字資產暴露面風險解(jie)決方案框架
